代码扫面扫出存储型攻击XSS怎么解决?

情谊梦幻 2020-03-27 10:57:27


代码扫描出输出流存在漏洞请问怎么解决
...全文
1855 15 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
15 条回复
切换为时间正序
请发表友善的回复…
发表回复
yubo0920 2021-05-26
  • 打赏
  • 举报
回复
我也遇到了类似的问题,您这最后是怎么解决的?
情谊梦幻 2021-02-09
  • 打赏
  • 举报
回复
引用 11 楼 Hagsyn 的回复:
楼主解决了吗,这个流出现的存储型XSS缺陷
没有,那时是直接注释掉后再扫描的
Hagsyn 2020-12-21
  • 打赏
  • 举报
回复
楼主解决了吗,这个流出现的存储型XSS缺陷
孔雀之王 2020-03-31
  • 打赏
  • 举报
回复
收shell
tangyuan569 2020-03-30
  • 打赏
  • 举报
回复
还有代码审计工具自动化也有误报的可能.叫乙方给具体修复代码.
tangyuan569 2020-03-30
  • 打赏
  • 举报
回复
XSSFileter 是在前端输入这一块就过滤了XSS攻击...还没到后端代码层这一块处理. 你现在用的应该是代码审计工具(fortify)吧...直接扫后端处理代码,所以XSSFileter 不起作用. 一般攻击者只能从前端发起攻击. 所以都是加过滤器...从源代码修复的话..
write的时候过滤掉xss 你直接在这里加过滤器试下.能骗过代码审计工具么,,我不知道这样影响正常业务么.反正我这边没这样处理过.
tangyuan569 2020-03-30
  • 打赏
  • 举报
回复
引用 4 楼 情谊梦幻 的回复:
[quote=引用 3 楼 tangyuan569 的回复:]
https://www.jianshu.com/p/b85bec74f0ec 可以参考这个 过滤XSS修复


这个XXSFileter是写了的,每个请求也都会进行过滤,但是代码扫描还是会扫到这个流存在攻击[/quote]

XSFileter 是在前端输入这一块就过滤了XSS攻击...还没到后端代码层这一块处理. 你现在用的应该是代码审计工具(fortify)吧...直接扫后端处理代码,所以XSFileter 不起作用. 一般攻击者只能从前端发起攻击. 所以都是加过滤器...从源代码修复的话..
write的时候过滤掉xss
情谊梦幻 2020-03-30
  • 打赏
  • 举报
回复
引用 3 楼 tangyuan569 的回复:
https://www.jianshu.com/p/b85bec74f0ec 可以参考这个 过滤XSS修复
这个XXSFileter是写了的,每个请求也都会进行过滤,但是代码扫描还是会扫到这个流存在攻击
qq_42077212 2021-09-18
  • 举报
回复
@情谊梦幻 我也遇到和你一样的问题 在过滤器加了,但是扫描代码还是有这个问题。请问你最后怎么解决的
weixin_43864911 2022-01-17
  • 举报
回复
@qq_42077212 加了过滤还是会扫描出问题,你最后怎么解决的?
tangyuan569 2020-03-30
  • 打赏
  • 举报
回复
引用 8 楼 情谊梦幻 的回复:
[quote=引用 7 楼 tangyuan569 的回复:]
还有代码审计工具自动化也有误报的可能.叫乙方给具体修复代码.

没办法改,要是把前端代码一起扫描估计要改死去,所以还是不改了,直接注释掉然后扫描在撤回把![/quote]
情谊梦幻 2020-03-30
  • 打赏
  • 举报
回复
引用 7 楼 tangyuan569 的回复:
还有代码审计工具自动化也有误报的可能.叫乙方给具体修复代码.
没办法改,要是把前端代码一起扫描估计要改死去,所以还是不改了,直接注释掉然后扫描在撤回把!
tangyuan569 2020-03-27
  • 打赏
  • 举报
回复
https://www.jianshu.com/p/b85bec74f0ec 可以参考这个 过滤XSS修复
tangyuan569 2020-03-27
  • 打赏
  • 举报
回复
还有时候扫描器会误报的. 不知道你们公司有没有做过滤器...类似注入 把 |or|and|;|-|--|+|,|like|//|/|*|%|# 等过滤掉
https://blog.csdn.net/seesun2012/article/details/79058265 具体思路参考这. 这是注入的过滤方式..XSS也类似...
tangyuan569 2020-03-27
  • 打赏
  • 举报
回复
在输入过滤,在显示的地方做输出编码。
使用一个统一的规则做输出编码
富文本框,使用白名单控制输入。
使用HTTPOnly标志
一般前端写过滤器..比如<> () alert 过滤掉.
能给下功能点 和前端代码吗?

51,397

社区成员

发帖
与我相关
我的任务
社区描述
Java相关技术讨论
javaspring bootspring cloud 技术论坛(原bbs)
社区管理员
  • Java相关社区
  • 小虚竹
  • 谙忆
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧